Итого за сентябрь

%	No	Classification	Severity
20.89	1805	access to a potentially vulnerable web application	medium
19.82	1713	Attempted User Privilege Gain	high
17.21	1487	Misc activity	low
10.75	929	Detection of a Network Scan	low
10.66	921	Misc Attack	medium
10.00	864	Attempted Information Leak	medium
8.23	711	Generic Protocol Command Decode	low
1.75	151	http_inspect	unknown
0.32	28	A suspicious string was detected	low
0.20	17	Attempted Denial of Service	medium
0.14	12	Web Application Attack	high
0.03	3	Decode of an RPC Query	medium

130.67.15.198 попал в фильтр за чрезмерную любовь ко мне.

Перенес веб-сервер на университетскую линию (CEPT T1). Сайт был недоступен три дня. Я уж все конфиги переписал по десять раз, а попался на таком простом, аж смешно.

pass in quick on hme0 proto tcp from any to 192.168.0.100 port=53

Как я мог забыть, что DNS connectionless, а, значит, UDP надо разрешить? Тьфу-ты!

Googlebot
Hits: 1387+20
Bandwidth: 3.00 GB (!)
Last visit: 29 Jul 2006 - 17:02

И это за июль! Слава смерть роботам!

Итак, подробности вчерашнего происшествия:

15:48 — Приходит письмо (ну наконец-то :-) от John Wiley & Sons, Inc. с угрозами на судебные иски в мою сторону.
Перечисленные в письме материалы должны быть убраны в течении 48 часов. Копия этого письма также уходит системному администратору университета.

16:10 — Дабы не искать приключений на свою голову, я останавливаю веб-сервер. Печально, но факт.

17:03 — Получаю письмо с университета с заметкой: Мы не предприним никаких мер, пока не получим от Вас комментарий по поводу данного инцидента.

17:07 — Пишу извинительное письмо, где ссылаюсь на свою невинность в содеяном. Мол, ой, а я и не знал, что у меня скачивают :-)

17:19 — Получаю второе письмо с университета, где говорится, что на этот раз я отмазался и чтоб полностью переустановил у себя ОС :-)

17:20 — Расстроен... А ведь такой был популярный ресурс с почти 250 хостами ежедневно. Прожил четыре месяца и десять дней. Аминь.

ACHTUNG!

Проект GET-BOOK времмено закрыт в связи с авторскими правами на определенные материалы. Некоторые изображения в журнале также пока недотупны.

Смотрел сегодня статистику библиотеки и обнаружил что-то ненормальное. Быстро глянул, чем объясняется такая загруженность. Оказалось, что Apache'ем.
Смотрю в процессы — ничего особенного. tail /bla/bla/access.log показал, что некий с 195.0.96.5 пытается сделать DoS, за что получает ататат™ и пожизненный бан.

Камни летят в сторону:

remarks: *****************************************************
remarks: IMPORTANT:
remarks: IMPORTANT: To report intrusion attempts, hacking,
remarks: IMPORTANT: spamming, or other unaccepted behavior,
remarks: IMPORTANT: please send a message to the admin-c and
remarks: IMPORTANT: tech-c or to abuse@scarlet.be
remarks: IMPORTANT:
remarks: *****************************************************
person: Koen Smedts
address: Banksys SA/NV
address: Haachtsesteenweg, 1442
address: B-1130 Brussels
address: Belgium
phone: +32 2 727 65 91
fax-no: +32 2 726 38 36
e-mail: koen.smedts@banksys.be
nic-hdl: KS4899-RIPE
mnt-by: BANKSYS-MNT
source: RIPE # Filtered

Following IPs have tried to log in more than 4 times in a minute:
============ 61.30.72.7 ==============
Name: 61-30-72-7.static.tfn.net.tw
Address: 61.30.72.7

Attempts: 72

( Read more... )

Веб-сервер снова доступен. Оказывается, уходил свет. А меня неделю не было (никакой UPS не поможет :-), так что извините.